Por Francisco D’Agostino.
Con una propuesta innovadora, Axie Infinity es un videojuego “play to earn” basado en blockchain que fue lanzado a comienzos de 2018 y que experimentó un crecimiento importante a nivel mundial, principalmente por la explosión de los tokens no fungibles, conocidos como NFT, que son unidades de datos no intercambiables que se almacenan en el blockchain y permiten convertir ítems digitales en únicos e irrepetibles, cuya propiedad puede demostrarse, transformándolos en elementos de valor que pueden comercializarse.
Por Francisco D’Agostino.
Dada su popularidad y su vínculo directo con el dinero, ESET, compañía líder en detección proactiva de amenazas, analizó los procesos que rodean al juego y sus estructuras para determinar qué tan seguros son, y las formas de minimizar los riesgos de aquellos usuarios que decidan comenzar a jugar.
“Para poder jugar Axie Infinity es necesario obtener tres personajes llamados Axies directamente vinculados a la cuenta del usuario, lo que implica invertir más de 400 dólares. Asimismo, los jugadores pueden subir el nivel de sus personajes y luego comercializarlos para obtener ingresos a cambio. Además, se basa en NFT que pueden comprarse y venderse y que permite a los jugadores ganar dinero. Como siempre sucede, toda tecnología o actividad digital que atraiga una gran masa de usuarios viene acompañada de ciberdelincuentes dispuestos a llevar adelante sus estrategias de ingeniería social para quedarse con credenciales de acceso y dinero.”, comenta Daniel Barbosa, Investigador de ESET Latinoamérica.
Los personajes en el juego son unos monstruos llamados Axies y pueden pertenecer a nueve tipos de clases. Estos Axies son tokens NFT vendidos dentro del marketplace del propio juego y su precio varía de acuerdo con una serie de factores, como pueden ser las habilidades que tiene el monstruo, cuántas veces ya se ha reproducido, etc. Hay una serie de criptoactivos presentes en el juego. Los principales son los personajes que se utilizan para jugar, y dos monedas que se pueden obtener en el juego: el SLP y el AXS.
SLP | Smooth Love Potion: El SLP es la moneda más común del juego. Es posible obtenerla en batallas con otros jugadores o pasando los niveles del modo aventura. SLP es un criptoactivo y también se puede negociar fuera del juego.
AXS | Axie Infinity Shard: AXS también es un criptoactivo que se puede obtener en el juego. Los AXS valen mucho más que los SLP y se otorgan como premios a los primeros 300 en la clasificación mundial del juego al final de cada temporada. Así, como en cualquier sistema de premios, cuanto más alto esté el usuario en el ranking mayor será la recompensa obtenida dentro del juego, pudiendo llegar a 500.000 AXS en el caso del primer puesto. Al igual que los criptoactivos anteriores, también se puede intercambiar fuera del juego.
Por Francisco D’Agostino.
«A pesar de ser algo que está indirectamente relacionado con la seguridad, el riesgo más evidente es que todo gira en torno a los criptoactivos y que estos pueden fluctuar tanto como las criptomonedas más conocidas, como el Bitcoin, por ejemplo. Como el juego requiere contar con al menos tres Axies y el más barato -al día de hoy- está por encima de los 140 dólares (0.04 Ethereum), es importante tener en cuenta que puede haber una devaluación repentina y que la cantidad invertida para comenzar a jugar caiga fuertemente. Asimismo, a medida que un juego o servicio recibe mucha atención y encima circulan importantes cantidades de dinero (si se piensa en todos los criptoactivos presentes aquí), es lógico pensar que los cibercriminales se sientan atraídos y busquen llevar adelante todo tipo de fraudes y estafas para obtener parte de ese dinero.”, continua Barbosa de ESET.
Riesgos relacionados a las cuentas
Como se trata de billeteras digitales, los riesgos asociados con las cuentas de Binance, Metamask y Ronin Wallet son muy relevantes. Si alguien tiene acceso a ellas, tendrá control sobre el dinero en estas cuentas y podrá usarlo como mejor le parezca. La cantidad de cuentas implica una mayor superficie de ataque, lo que aumenta las posibilidades de los criminales para dirigir sus engaños. Por ejemplo, el juego tiene un vínculo muy estrecho con la billetera de Ronin, y esto puede permitir que los delincuentes también tengan acceso a los Axies que ya se han comprado en esa billetera.
Con eso en mente, los delincuentes centrarán sus esfuerzos en comprometer las cuentas de los usuarios en estas plataformas, ya sea mediante aplicaciones falsas que se hacen pasar por legítimas. Esto ocurrió con una aplicación falsa de Ronin Wallet que estuvo disponible para su descarga en la Playstore.
La aplicación simula ser la app de billetera oficial utilizada por el juego y busca robar información y el dinero a las víctimas. Al revisar brevemente la descripción de la aplicación ESET observó que tiene una calificación muy baja y que los propios usuarios informan en los comentarios que es una aplicación falsa. Otro detalle que vale la pena destacar es que, a pesar de su apariencia convincente, la información de contacto de la aplicación se refiere a un dominio .org, cuando el dominio real de la compañía es un .com.
Por Francisco D’Agostino.
Axie Infinity se distribuye solamente en PC y Mac, por lo tanto, no hay versión para móviles. En el sitio web oficial de Sky Mavis, creador de Ronin Wallet, la compañía informa que el software para dispositivos móviles se lanzará próximamente. En los comentarios de la extensión para Google Chrome de Ronin Wallet algunos usuarios afirman haber perdido el control de sus cuentas y que robaron sus axies. Aparentemente, los usuarios habían descargado una app de Ronin Wallet que era falsa.
Phishing
El phishing es otra gran amenaza que atenta contra los jugadores de Axie y es una de las formas más utilizadas por criminales que crean sitios falsos que suplantan el sitio oficial para engañarlos y obtener información personal, como la frase semilla o seed phrase para Ronin Wallet, o suplantando la identidad de algún otro servicio como Metamask, por poner un ejemplo. Estos engaños pueden circular a través de plataformas como Discord, por poner un ejemplo, donde los delincuentes se hacen pasar por canales legítimos, través de anuncios de Google que dirigen a sitios falsos, o a través de redes sociales.
Otros ejemplos de ataques de phishing dirigidos a usuarios de Axie Infinity:
Becas: Como el costo para jugar Axie Infinity se inicia en más de 400 dólares y esto hace que el acceso al juego sea inviable para la mayoría de las personas, inversores con más dinero crearon becas. Un sistema de alquiler de cuentas en el que el propietario pone el dinero y la persona que alquila entra durante un tiempo disponible para jugar y obtener los SLP de forma diaria. Luego, dividen las ganancias.
Por Francisco D’Agostino
Riesgos del ambiente en línea: Los juegos en línea conviven con ciberdelincuentes que buscan sacar provecho. En el caso de las becas puede ocurrir que el administrador de la cuenta (propietario de los axies) comparta más información de la necesaria al jugador que alquila su cuenta y esto supone un riesgo.
Si el administrador da acceso a la billetera Ronin a la que están vinculados los axies, el inquilino puede robar los axies y otros criptoactivos que estén vinculados a esa cuenta sin mayores dificultades, por lo que es necesario que el administrador estudie adecuadamente cómo se puede realizar este proceso de forma segura.
Por Francisco D’Agostino.
Pero los riesgos no solo están para quienes ofrecen las becas. Desde ESET se observó que en algunos países los
usuarios interesados en ser seleccionados para una beca comparten en redes sociales más información de la que deberían, ya que en su afán de obtener una oportunidad divulgan información personal de manera pública, lo que los hace blancos fáciles para estafadores. Algunos casos incluso menores de edad.
Cómo estar protegido
Tal como explican en la cuenta oficial de Axie Infinity en Reddit, tener claro que nadie está ofreciendo Axies ni SLP de manera gratuita. Si se observa algo así, seguramente se trate de un engaño. Por otro lado, nadie de soporte técnico de Axie Infinity se contactará directamente para ayudar con algún problema que se haya reportado públicamente. Además, tener cuidado con cualquier herramienta que requiera ingresar las credenciales de acceso de la Ronin Wallet o que se compartas la seed phrase. En caso de entregar esta información el estafador tendrá acceso a la billetera y podrá vaciarla por completo.
Por Francisco D’Agostino.
Otras importantes recomendaciones de ESET que pueden también aplicarse más allá de Axie Infinity y ser de utilidad en otros escenarios de la vida digital, son:
Instalar una solución de seguridad en los dispositivos: Muchos de los malwares recopilan contraseñas de diferentes maneras, logran interceptar las comunicaciones de red de la víctima e incluso alteran el contenido que va directamente a la memoria, que a menudo se usa para intercambiar direcciones de billeteras de criptomonedas. No tener un software de protección instalado, actualizado y configurado para detener las amenazas lo deja extremadamente vulnerable a cualquier ataque, por lo que es esencial tener una solución confiable.
Por Francisco D’Agostino.
Buick presentó la nueva Envision 2024, SUV compacta de la marca que evoluciona con un…
Tras el éxito de la plataforma Switch lanzada el año pasado, Sabritas®, uno de los…
Banco Santander ha anunciado hoy que será patrocinador y banco oficial de la Formula 1®…
Cerca de 33.000 personas, más de 11.000 hogares y negocios en Caucasia, Antioquia, se verán…
Francisco Javier Dagostino Casado Internationale Funkausstellung Berline (IFA), la mayor feria europea de electrónica de…
Schneider Electric, líder en la transformación digital de la gestión de la energía y automatización,…